系统分册02 vrrp配置

操作手册系统分册 目 1 1 1 2 4 4 6 7 7 9 9 i第1VRRP如图1-1所示，通常，同一网段内的所有主机都设置一条相同的以网关为下一跳的

图1-1VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议）将可以承担VRRP是一种容错协议，在提高可靠性的同时，简化了主机的配置。在具有多播或备上和IPv6设备上使用的命令不同。Master防火墙，承担网关功能。当备Master防火墙发生故障时，其余的防火墙将取代它继图1-2VRRP1-2所示，SecPathA、SecPathB和SecPathC组成一个虚拟防火墙。此虚拟SecPathB和SecPathC中优先级最高的防火墙作为Master防火墙，承担网关的功份组内的某个防火墙的接口IP地址相同。VRRP根据优先级来确定备份组中每台防火墙的角色（MasterBackup防火墙）。优先级越高，则越有可能成为Master防火墙。VRRP0255（数值越大表明优先级越高），可配置的范围在IP地址拥有者时，只要其工作正常，则为Master防火墙。Master防火墙没有出现故障，Backup防火墙即使随后被配置了更高的优先级也不会成为Master防火墙。MasterVRRP通告报文。导致相应地，原来的Master防火墙将会变成Backup防火墙。VRRPVRRP报文中的认证字和本地配置的AuthenticationHeader（认证头）VRRP报文的VRRPMasterVRRP通告报文，通知备份组内的防VRRP抢占延迟时间的方法来解决这个问题。VRRP抢占延迟时间后，Backup3倍的通告报文时间间份组内防火墙进行Master防火墙的选举。虚拟的各种参数，还可以用于Master的选举。图图1-3基于IPv4的VRRPType：VRRP报文的类型。VRRPVRRPCountIPAddrsIP地址的个数。1一律填0。图图1-4基于IPv6的VRRPType：VRRP报文的类型。VRRPVRRP不支持MD5认证。Addrs字段。一律填0。MasterBackup防火墙。Master防火墙定期发送VRRP通告报文，通知备份组内的其他设备自己工作正常；Backup防火墙则启动定时器等待通告报文的到来。与通告报文中的优先级进行比较。如果大于通告报文中的优先级，则成为Master防火墙；否则将保持Backup状态。Master防火墙没有出现故障，备份组中的防火墙始终也不会成为Master防火墙。BackupMasterVRRPMasterBackup防火墙会根据优先级选举出Master防火墙，承担报文的转发功能。VRRP的监视接口功能更好地扩充了备份功能：不仅能在备份组中某防火墙的接口down状态时，拥有该接口的防火墙的优先级会自动降低一个指定优先级高的Backup防火墙转变为Master防火墙。优先级，成为Master，保证局域网内主机与外部网络的通信不会中断。拥有不同优先级，优先级最高的防火墙将成为Master，如图1-5中所示。图1-5主备备份初始情况下，SecPathAMaster并承担转发任务，SecPathBSecPathC是SecPathBSecPathCMaster，这个新Master继续向网络内的主机提供路由服务。为Master，在其他的备份组中作为Backup。可以各不相同，如图1-6中所示。图1-6负载分担1-6中，有三个备份组存在：C作为Backup。C作为Backup。B作为Backup。SecPathA、SecPathBSecPathC之间进行负载分担，需需要确保三个备份组中各防火墙的VRRP优先级形成交叉对应。IPv4的表1-1VRRP配置虚拟IPMAC创建备份组并配置虚拟IPMACIPMAC地址的对应关系，将发往其他网段的报文正确转发给Master。如果采用这种对应关系，MasterIP地址与MAC地址的绑定。IPMACIP地址拥有者IPMACIP地址对应两主机发送的报文将按照实际MAC地址转发给IP地址拥有者。表1-2MAC地址和虚拟IP-配置虚拟IPvrrpmethod{real-macMAC地址和虚拟IP注意：允许修改虚拟IP地址和MAC地址的对应关系。则可以为一个备份组配置多个虚拟IP地址，以便实现不同子网中防火墙的备份。IP地址时，VRRPIP地址添加到它的备份组虚拟IP地址列表中。注意：随后配置的虚拟IP地址与接口的IP地址在同一网段。表1-3创建备份组并配置虚拟IP--虚拟IP地址配置的虚拟IP地址数目是不相同的。IP墙被称为“IP地址拥有者”。拥有者的接口IP地址的方式解决地址冲突。回地址、非A/B/C类地址和其它非法IP地址(如0.0.0.1)。IP地址所在网段的网络地址或网络广播地址，虽然可以配置成功，但是备份组会始终处于Initialize状态，此状态下VRRP不起作用。置虚拟IP地址。防火墙作为Master。下面这些配置是可选的，可以根据实际需要进行配置。表1-4--vrrpvridvirtual-router-id中的优先级为100vrrpvridvirtual-router-idpreempt-mode[timerdelaydelay-value]时间为0秒vrrpvridvirtual-router-idtrackinterfaceinterface-typeinterface-number[reducedpriority-reduced]vrrpvridvirtual-router-idtracktrack-entry-number[reducedpriority-reduced|switchover]的Track项被监视的接口可以是三层以太网接口、VLAN接口、同异步串口、MP-group接为PPPoE客户端，并工作在永久在线方式；BRI接口工作在专线模式。VRRPIP地--VRRP报文的认证方式vrrp{md5|simple}配置备份组中Mastervrrpvirtual-router-idtimeradvertiseadver-interval禁止检查VRRPvrrpun-check表1-6VRRPTrap-snmp-agenttrapenable[authfailure|newmastersnmp-agenttrapenablevrrp命令的详细介绍请参见“系统分册/SNMP命令”中的snmp-agenttrapenable命令。displayIPv4表1-7VRRPdisplayvrrp[verbose][interfaceinterface-typeinterface-number[vridvirtual-router-id]]displayvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]resetvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]HostA需要访问Internet上的HostBHostA的缺省网关为202202图1-7VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathA-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathB5[SecPathB-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 1Adver.:Admin :Config Run:Preempt DelayAuth Virtual Virtual Master [SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt DelayAuth VirtualIP MasterIP :202.38.160.1A发送给HostB的报文通过SecPathA转发。verbose命令查看SecPathB上备份组的详细信息。[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 1Adver.:Admin :Config Run:Preempt DelayAuth Virtual Virtual Master HostA需要访问Internet上的HostBHostA的缺省网关为HostB的报文通过SecPathB转发。202图1-8VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathA-GigabitEthernet0/0]vrrpvrid1timeradvertise[SecPathA-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelayreduced30[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ip[SecPathB-GigabitEthernet0/0]vrrpvrid1timeradvertise[SecPathB-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin Config Run::Preempt Auth Track DelayTimePri::VirtualIP:202.38.160.111VirtualMAC:0000-5e00-0101MasterIP:202.38.160.1[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt Delay:Auth VirtualIP :202.38.160.111MasterIP :202.38.160.1A发送给HostB的报文通过SecPathA转发。pingHostB。通过displayvrrpverbose命令查看备份组的信息。[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : : Adver. :Admin : :Config : Run :PreemptMode :YES DelayTime :5AuthType :SIMPLETEXT TrackIF :GigabitEthernet0/1 PriReduced :30VirtualIP :202.38.160.111Master :[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt Delay:Auth VirtualIP:202.38.160.111VirtualMAC:0000-5e00-0101MasterIP:202.38.160.2SecPathAGigabitEthernet0/1不可用时，SecPathA的80Backup，SecPathBMaster，HostAHostB的报文通过SecPathB转发。的缺省网关为202.38.160.112/24；

图1-9VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ip[SecPathB-Giga